浏览器最令人称赞的一项功能是后台自动更新，更新进程还囊括了扩展开发者推送的更新，这意味着不管信任不信任扩展开发者，扩展开发者都有权限 向你推送新代码。更糟糕的是，扩展的所有权还可以转让给第三方，而用户不会被告知所有权的转让，直到他们使用的扩展出现问题为止。广告软件和恶意软件作者 可利用该漏洞向用户推送广告和垃圾信息。这就是最近一个Chrome扩展身上发生的事情。

Add to Feedly扩展作者Amit Agarwal收到了一封电子邮件，对方提出4位数的报价购买他的扩展，这个扩展只花了Agarwal一个小时时间开发，他觉得很划算，因此接受了交易， 将扩展所有权转让给另一个Google帐号。一个月后，扩展发布了一个更新，植入了广告软件开始重定向链接，广告软件通过自动更新推送给了3万Add to Feedly用户。

编者发稿时，Add to Feedly 扩展似乎已经被 Chrome Web Store 删除！

文章转载自 开源中国社区 [